问题
RouterOS在静态路由 (VPN网段或者 异地网段) 到内网VPN网关时,会遇到体现是第一个响应很慢,但是加载后正常。
排难,iperf3测试带宽没问题,ping延迟也正常的情况。
原因
(懒得写太长,建议看下方链接)
大概就是本地发包转发给内网VPN网关出口后连接无法追踪后判定为”invalid”,通常在防火墙规则最后会有
chain=forward action=drop connection-state=invalid
导致连接出现”invalid”后直接被drop掉了
解决
在
chain=forward action=drop connection-state=invalid 前添加chain=forward action=accept connection-state=invalid,new src-address=192.168.2.0/24 dst-address=10.1.1.0/24 in-interface=lan-bridge
即可。
- scr-address是你的lan地址,dst-address是你的想要的静态路由的网段(VPN网段或者 异地网段)
就是接受转发到静态路由的网段的”invalid”包